Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Gravi vulnerabilità del client SupportAssist mettono a rischio i computer Dell

cross-site request forgery  Dell  remote code execution   lunedì, 6 maggio 2019

Un ricercatore di sicurezza indipendente ha scoperto due gravi vulnerabilità nel software Dell SupportAssist client che fornisce funzionalità di verifica dell’integrità e dello stato di salute del software e dell’hardware dei computer Dell ed è preinstallato sulla maggior parte dei PC di questo produttore.

La prima vulnerabilità (CVE-2019-3718) è legata ad una convalida non corretta dell’origine dei dati forniti in input al software. Se sfruttata con successo, questa vulnerabilità può consentire ad un utente malintenzionato remoto non autenticato di tentare attacchi di tipo CSRF agli utenti dei sistemi interessati.

La seconda vulnerabilità (CVE-2019-3719) può consentire ad un attaccante che condivide lo stesso livello di accesso alla rete con il sistema vulnerabile di eseguire codice arbitrario sul computer della vittima. Questa vulnerabilità può essere sfruttata inducendo la vittima a scaricare ed eseguire tramite il client SupportAssist file arbitrari da siti controllati dall’attaccante.

Dell ha rilasciato un aggiornamento che risolve queste problematiche. È necessario aggiornare il software Dell SupportAssist client alla versione 3.2.0.90 o successiva.

Vista la gravità delle vulnerabilità riscontrate, Dell consiglia a tutti i clienti di effettuare l’aggiornamento il prima possibile.

Per maggiori informazioni su queste vulnerabilità, sui prodotti vulnerabili e sugli aggiornamenti disponibili si consiglia di consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Vulnerabilità multiple in PHP 7

28 gennaio 2020

ono state scoperte diverse vulnerabilità in PHP 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto

Avviso di sicurezza di Microsoft per falla critica 0-day in Internet Explorer

20 gennaio 2020

Microsoft ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità critica zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto

Grave Vulnerabilità 0-Day su Citrix NetScaler e ADC

13 gennaio 2020

È stata recentemente individuata una grave vulnerabilità zero-day nei prodotti Citrix NetScaler, Citrix Application Delivery Controller (ADC) e Citrix Gateway.Leggi tutto